هشدارهای افتایی
هکرها در حال اسکن اینترنت هستند تا سرورهای ویندوز که در حال اجرای پایگاه‌داده MySQL هستند را شناسایی کنند و سپس آن‌ها را با باج‌افزار GandCrab آلوده کنند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، این حملات به نوعی جدید هستند و پژوهشگران تاکنون هدف قرار گرفتن سرورهای MySQL را برای نصب باج‌افزار مشاهده نکرده اند.
آنان اعلام کرده‌اند که هکرها پایگاه‌داده‌های MySQL قابل دسترس از اینترنت و قبول کننده  دستورهای SQL  را اسکن می‌کنند تا در صورت ویندوزی بودن سرور آن، با دستورهای SQL مخرب یک فایل در سرور هدف قرار داده و باج‌افزار GandCrab را در فضای میزبان نصب می‌کنند.
با این که اکثر مدیران سیستم‌هاُُُُ٬ با گذرواژه از سرورهای MySQL محافظت می‌کنند، مهاجمین اسکن خود را بر مبنای یافتن سرورهایی که دارای پیکربندی مناسبی نیستند یا برای آن‌ها گذرواژه تعریف نشده است، انجام می‌دهند.
پژوهشگران در این حملات یک سرور از راه دور را شناسایی کردند که روی آن HFS یا HTTP File Server در حال اجرا است. HFS یک وب سرور مبتنی بر ویندوز است. در این سرور پنج فایل اجرایی با نام 3306 مشاهده شده و تعداد دانلود هر یک مشخص است.
در سرور شناسایی شده یک فایل اجرایی لینوکس ELF با نام RDP نیز وجود دارد که در این حمله از آن استفاده نشده است.
در زمان تهیه این گزارش، فایل 3306-1.exe که در هانی‌پات پژوهشگران شناسایی شده٬ بیش از 550 بار دانلود شده است.
همچنین سایر فایل‌ها (3306-2.exe، 3306-3.exe و 3306-4.exe) به همراه فایل اول، در مجموع 842 بار دانلود شده‌اند که نشان دهنده قربانیان حمله است.
با اینکه دامنه این حمله گسترده و وسیع نیست، اما این گونه حملات تهدیدی مهم برای سرورهای MySQL که پورت 3306 آن‌ها در معرض دسترسی است، تلقی می‌شود.

نشانه‌های آلودگی (IoC):
نمونه‌های GandCrab:
•    c83bf900eb759e5de5c8b0697a101ce81573874a440ac07ae4ecbc56c4f69331
•    017b236bf38a1cf9a52fc0bdee2d5f23f038b00f9811c8a58b8b66b1c756b8d6
cna12.dll:
•    1f86561ca8ff302df2a64e6d12ff530bb461f9a93cf9b7c074699e834f59ef44
IPهای میزبان مهاجم:
•    172.96.14.134:5471 (GandCrab host)
•    148.72.171.83 (MySQL attacker)

منابع:
 
https://www.zdnet.com/article/hackers-are-scanning-for-mysql-servers-to-deploy-gandcrab-ransomware

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.